دبي : علوم وتكنولوجيا .
اكتشف باحثون لدى كاسبرسكي لاب يراقبون نشاط المجموعة التخريبية واسعة المهارة ScarCruft الناطقة باللغة الكورية، أنها تقوم بتطوير أدوات وتقنيات جديدة واختبارها، كما توسّع نطاق المعلومات التي يتم جمعها من الضحايا، وتزيد من حجم تلك المعلومات. ووجد الباحثون كذلك أن من بين أشياء أخرى تقم بها المجموعة التخريبية، إنشاء شيفرة برمجية قادرة على تحديد أجهزة المتصلة عبر تقنية بلوتوث.
ويُعتقد أن التهديد المتقدم المستمر الذي تمثله ScarCruft يتمّ برعاية حكومية، إذ عادة ما يستهدف كيانات حكومية وشركات لها علاقات بشبه الجزيرة الكورية، بحثاً فيما يبدو عن معلومات ذات أهمية سياسية. وثمّة دلائل لاحظتها كاسبرسكي لاب على أن المجموعة التخريبية تطوّر وتختبر أدوات خبيثة جديدة، وأن لديها اهتماماً متزايداً في الحصول على البيانات من الأجهزة المحمولة مُظهرة قدرتها على تكييف الأدوات والخدمات الشرعية واستخدامها لصالح عمليات التجسس الإلكتروني التي تُجريها.
وتبدأ هجمات المجموعة، مثل غيرها من المجموعات التخريبية المعتمدة على التهديدات المتقدمة المستمرة، إما عن طريق التصيّد الموجّه أو الاختراق الاستراتيجي لمواقع الويب، والذي يُعرف أيضاً باسم هجمات "كمائن بِرك الشرب" Watering-Hole باستغلال ثغرات أو باللجوء إلى حيل أخرى لإصابة زوار محددين لبعض مواقع الويب التي يتمّ اختراقها ونصب الكمين فيها.
ويتمّ تنفيذ هذا الأمر، في حالة ScarCruft، عبر مراحل؛ أولها إصابة تتيح تجاوز التحكّم في حساب مستخدم النظام "ويندوز" Windows، للتمكّن من تنفيذ الخطوة التالية بإنزال الحمولة الخبيثة عبر امتيازات أعلى وباستخدام شيفرة برمجية عادة ما توظفها الشركات توظيفاً شرعياً لاختبار قدرة الجهات التخريبية على اختراق أنظمتها التقنية. وتستخدم البرمجية الخبيثة أسلوب "ستيغانوغرافي"، أو مواراة المعلومات وإخفائها، من أجل تجنب الانكشاف عند المستوى الشبكي، مُخفية الشيفرة الخبيثة داخل ملف صورة. وتتمثل المرحلة الأخيرة من الهجوم بتركيب منفذ خلفي قائم على الخدمة السحابية يُعرف باسم ROKRAT. ويجمع هذا المنفذ الخلفي مجموعة كبيرة من المعلومات من الأنظمة والأجهزة التي وقعت ضحية للهجوم، ويمكنه إعادة توجيهها إلى أربع خدمات سحابية هي Box وDropbox وpCloud وYandex.Disk.
وكشف باحثو كاسبرسكي لاب عن اهتمام المجموعة بسرقة البيانات من الأجهزة المحمولة، فضلاً عن برمجيات خبيثة تأخذ صوراً لبصمات الأصابع من أجهزة بلوتوث باستخدام واجهة برمجة التطبيقات الخاصة ببلوتوث في النظام "ويندوز" Windows Bluetooth API.
ووجد استناداً إلى بيانات القياس عن بُعد، بأنه كان من ضحايا هذه الحملة شركات استثمارية وتجارية في فيتنام وروسيا قد تكون على علاقة بكوريا الشمالية، فضلاً عن كيانات دبلوماسية في هونغ كونغ وكوريا الشمالية. ووجد كذلك أن ضحية في روسيا أصيبت بهجوم ScarCruft كان قد سبق لها أن أصيبت بهجوم شنته مجموعة DarkHotel الناطقة بالكورية.
وقال سيونغسو بارك أحد كبار الباحثين الأمنيين في فريق الأبحاث والتحليلات العالمي التابع لكاسبرسكي لاب، إن هذه ليست المرة الأولى التي يُشاهد فيها تداخل بين ScarCruft وDarkHotel، مشيراً إلى وجود "اهتمامات متشابهة" بالأهداف لدى المجموعتين، بالرغم من الاختلاف الكبير في أدوات عملهما وأساليبهما، وقال: "يقودنا هذا الأمر إلى الاعتقاد بأن إحدى المجموعتين تتربص بضحاياها بانتظام في ظل المجموعة الأخرى، ومع أن ScarCruft تتسم بالحذر ولا ترغب في الظهور، فقد أثبتت أنها مجموعة تتمتع بمهارات عالية ونشاط كبير، مع قدر واسع من الحيلة في الطريقة التي تطوّر بها الأدوات وتنشرها، ونعتقد بأنها سوف تواصل التقدّم".
ويوصي باحثو كاسبرسكي لاب بتنفيذ التدابير التالية من أجل تجنب الوقوع ضحية لهجوم موجه تشنه جهة تهديد معروفة أو مجهولة:
• تزويد فريق مركز العمليات الأمنية التابع للشركة بالقدرة على الوصول إلى أحدث المعلومات المتعلقة بالتهديدات، لمواكبة الأدوات والتقنيات والأساليب الجديدة والناشئة التي تستخدمها جهات التهديد ومجرمو الإنترنت.
• تنفيذ حلول EDR مثل Kaspersky Endpoint Detection and Response، للكشف عن التهديدات عند مستوى النقاط الطرفية والتحقيق فيها ومعالجتها في الوقت المناسب.
• تنفيذ حل أمني على امتداد الشركة يكون قادراً على اكتشاف التهديدات المتقدمة عند المستوى الشبكي في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform.
• تقديم تدريب توعوي أمني للموظفين وتعليمهم المهارات العملية، من خلال الحلّ Kaspersky Automated Security Awareness Platform، في ضوء حقيقة أن العديد من الهجمات الموجّهة تبدأ بمحاولات التصيّد أو غيرها من تقنيات الهندسة الاجتماعية.